Hi Joh,

Geht mir ähnlich. Die RC4-Verschlüsselung ist mittlerweile eine freizeitfüllende Beschäftigung für mich geworden. Dabei wollte ich mir anfangs nur ein paar Resturlaubstage vertreiben

Ganz genau so ist es. Mit mehr Glück hättest du eine gelöschte $03-Datei finden können, welche im $user\temp-Verzeichnis lag. Dann hätte man den Dateien wenigstens ihren Orginalnamen zurückgeben können. Ohne die $03-Datei geht nicht einmal das.

Im Anhang ist das Programm "Decrypter" mit dem man unter anderem die $03-Datei entschlüsseln kann. Schade dass es bei dir jetzt nicht zum Einsatz kommen kann. Die $02-Datei, um die sich alles dreht, ist leider immer noch nicht zu entschlüsseln und die anderen Dateien sind unwichtig, da der Virus die nur zum abspeichern der Paycodeeingabe und ähnliches benutzt.

Tut mir leid - es gibt momentan nichts was dich auch nur den kleinsten Schritt weiterbringen würde.

@Alle

Mit RC4 beschäftige ich mich momentan sehr viel. Immerhin lässt sich ja durch Auslesen einer unveränderten Opferfestplatte der Inhalt der $02-Datei zu einem sehr großen Teil rekonstruieren. Die Größe des Anteils ist individuell, aber bei normalem Benutzerverhalten ist dieser höher als 70%. (Ein nicht normales Benutzerverhalten wäre in diesem Zusammenhang das Abspeichern aller Dokumente, Bilder etc. im Root-Verzeichniss - also direkt unter "c:\")

Die Frage ist ob man mit einer Plaintext-Attacke auf RC4 die Bruteforce-Suche so begrenzen kann, dass man doch noch in vernünftiger Zeit ein Ergebnis bekommt. Damit man darüber nachdenken kann ist es sinnvoll direkter mit RC4 umzugehen als es die CryptApi erlaubt. Im Quellcode von Decrypter habe ich RC4 auf möglichst leicht lesbare und verständliche Weise implementiert. Die vom Trojaner eingesetzte CryptApiverschlüsselung ist zu dieser Implementation kompatibel. Ich war bereits viele, viele Stunden auf der Suche nach einer Lösung, aber ich lande ständig wieder in einer Sackgasse. Um zu erkennen ob und wie man 70% bekannten Inhalt ausnutzen kann, braucht es einen der schlauer ist als ich es bin.
Der RC4-ALgorithmus ist sehr einfach und kurz. Im angehängten Decrypter habe ich alles zusammengeschrieben was man zum Einstieg brauchen könnte. Im Anhang befindet sich auch eine $02-Datei (verschlüsselt und unverschlüsselt + dazugehöriges Passwort und andere Testdateien).

Falls sich jemand damit beschäftigen möchte, würde ich mich sehr freuen und alles zuarbeiten was mir möglich ist.
Viele Grüße
Marcu

hi
nur als kurze warnung, nach langer ruhephase rollt der spam jetzt wieder dan, also vorsicht, und malware samples bitte auch an mich:
http://markusg.trojaner-board.de

hmmm,

Gedanken bzgl. Originaldateinamen

ich habe mir gestern mal die Auslagerungsdatei (Pagefile.sys) vorgenommen. Dort findet man massenhaft Verweise auf alte Dateinamen (vor der Verschlüsselung) und neue Dateinamen (syLAoqLgsUVxda).

Hat irgendwer ne Ahnung, wie die Datei aufgebaut ist? IMHO ist es ja so, das die verschiedenen gespeicherten Pages völlig wirr gespeichert werden, also müsste es doch irgendwo Verwaltungsinformationen geben, welche Page (von welcher Größe) an welcher Position der datei steht?

Oder standen diese Infos nur zur Laufzeit im RAM?

Gruß
Joh

Mal so ne allgemeine Frage, wann verschlüsselt das Ding denn die Dateien?
Sobald man sich den eingefangen hat oder wenn das System neu Startet?
Und wie lange braucht er dann so je Datei? Hat man da noch ne Chance den "Stecker zu ziehen" um das ganze abzubrechen oder ist man da Chancenlos?

Gruß

Torsten

Hi JohX
Das klingt sehr gut

Der Aufbau der pagefile.sys wird hier erklärt:
http://jessekornblum.com/publications/di07.pdf


Hi Torsten
Da hat man sogar sehr gute Chancen bei diesem Trojaner. Maßgeblich für den Verschlüsselungszeitpunkt ist die erfolgreiche Übertragung eines individuellen Passworts an einen C&C-Server. Erst danach wird verschlüsselt. Manchmal gelingt das der Malware auf Anhieb - aber einige Male habe ich auch Stunden gewartet bis die Verschlüsselung stattfand.
Nachdem ich jetzt weiß wie dieser Trojaner tickt, habe ich mir fest vorgenommen künftig sehr geistesgegenwärtig zu sein und bei einem Anzeichen von Malware dem betroffenen Computer so schnell wie möglich das Stromkabel rauszureißen.

VG Marcu

Habe leider viel zu wenig Zeit um mich noch auseinanderzusetzen, sorry @Marcu, das ich noch nichtmals die PM beantworten konnte.
Es gibt wieder eine neue Version, die 4000002 laut C&C Request, heute morgen in meinen Spam Ordner gelangt. Kann sie auf Anfrage zur Verfügung stellen.
Interessant ist das ich mit meinem persönlichen Vornamen in der Mail angesprochen wurde und der Dateianhang den auch enthält:


Sehr geehrte/r Adalbert,

unsere Buchhaltungs Büro hat Ihre Bestellung überprüft und uns gerade darüber informiert, dass die noch nicht bezahlte Rechnung von 492,38 Euro immer noch nicht beglichen wurde. Mit dieser Email bitten wir Sie Ihrer Zahlungsverpflichtung nachzukommen.

Da dies die zweite Forderung ist, sehen wir uns gezwungen Ihnen leider die Gebühren von 16,00 Euro dazu zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.

Wir bitten Sie, den fälligen Betrag bis zum 20.07.2012 auf das angegebene Bankkonto zu begleichen.
Im anderen Fall sehen wir uns gezwungen, unsere Forderung durch ein Inkassobüro geltend zu machen.

Ihren Überweisungsschein und Artikel Liste finden Sie in dem angefügten Dokument.
Folgen Sie unverzüglich unserer Bitte und sparen Sie sich weitere Kosten.

Mit verbindlichen Grüßen

[snip]

Attachment: Mahnung 15.06.2012 Adalbert.zip

Spontane Idee: den Rechner (wenn voreingestellt per Taste) sofort in den Ruhezustand schicken? Die Auslagerung enthält doch dann den gesamten RAM Inhalt.

Kurze Zwischenfrage:

Ich habe aus dem Beitrag weiter oben den Firmen-Namen entfernt. Wie verhält es sich damit? Die Firma gibt es ja grundsätzlich mal - erweckt mir jedoch nicht mal im Ansatz den Eindruck, etwas mit dem Schädling zutun zu haben. Werden die gegen ihren Willen als vermeintlicher Absender genannt und sind demzufolge auch eher als Opfer zu betrachten?

Bevor deren Rolle nicht klar ist, möchte ich darum bitten, konkrete Namen und Adressen nicht zu veröffentlichen. Zu schnell könnte so Dinge fälschlicherweise in Verbindung gebracht werden. Ich bitte um Verständnis.

Sind auch Opfer. Mail kommt ja nicht von denen (bzw. von deren Mailserver) sondern von Trojaner-Versender "direkt".

Ich hatte es gedacht.
In dem Fall möchte ich darum bitten, diese Firmen nicht auch nicht in diesem und andren Foren im Kontext des Trojaners zu nennen. Die werden womöglich schon mehr als genug Ärger haben - den sie nicht selbst verschuldet haben. Ich will lieber nicht wissen, wie viele Opfer sich an die genannte Adresse wenden, sich im Recht glauben und sehr ungehalten losschimpfen.